LANSCOPE サイバープロテクション ブログ
セキュリティ
エンドポイントセキュリティの重要性や対策ポイントについて解説
目次
企業が自社の機密情報や個人情報を守るためには、セキュリティ対策ソフトを導入してデータ保護をはかる必要があります。しかしサイバー攻撃の多様化などが原因で、従来型のゲートウェイセキュリティだけでは十分なセキュリティの維持が難しくなってきています。
社内のセキュリティを高い水準で維持するためには、個々の端末を保護するためのエンドポイントセキュリティの導入が重要です。そこで今回は、エンドポイントセキュリティの重要性や対策のポイントについて解説します。
エンドポイントセキュリティとは
近年、多くの企業や組織がセキュリティを強化するために導入している「エンドポイントセキュリティ」ですが、具体的にはどのようなものを指すのでしょうか。ここでは、エンドポイントセキュリティの基礎知識や重要性について解説します。
エンドポイントセキュリティとは
エンドポイントセキュリティとは、「末端」を意味する「エンドポイント」を対象にしたセキュリティ対策のことです。
ネットワークの末端にはパソコンやスマートフォン、タブレット端末、サーバー、プリンターなどの「エンドポイント」が存在しており、エンドポイントには企業の機密情報や顧客の個人情報などが保存されています。このことから、悪意のある第三者はエンドポイントに対してサイバー攻撃を仕掛け、機密情報や個人情報を不正に窃取したり、データの改ざんを試みたりするケースが多いといえます。
エンドポイントセキュリティを実現すると、パソコンやスマートフォン、タブレット端末をはじめとしたエンドポイントをサイバー攻撃から保護し、自社の重要情報の流出や破壊を防止しやすくなります。
エンドポイントセキュリティの重要性
近年、エンドポイントセキュリティの重要性が高まってきた背景には、サイバー攻撃の増加やマルウェアの拡散、テレワークの増加などの社会的背景によるエンドポイントの多様化などが挙げられます。
サイバー攻撃は世界的に激化かつ複雑化しており、日本においてもその傾向は同様です。令和3年中にサイバー犯罪で検挙された件数は12,209件と過去最高を記録しており、多くの企業や組織、個人がサイバー攻撃による被害を受けています。企業におけるセキュリティ対策の方針を定めた「セキュリティガイドライン」を策定するなど、政府もセキュリティ対策に力を入れていますが、サイバー攻撃を減少させるには至っていません。
さらに、データの破壊や改ざん、窃取などの被害をもたらす「マルウェア」と呼ばれる悪質なプログラムは構造が複雑化しており、次から次へと新しい型が登場して、セキュリティパッチを開発するメーカーとの間でいたちごっこが続いている状況です。マルウェアに感染した端末から他の端末に次々と感染が広がっていく性質が、被害を広げる原因にもなっています。
加えて、近年では働き方改革やコロナ禍によるリモートワークの増加によって、エンドポイントがオフィス内だけでなく従業員の自宅やシェアオフィスなどの社外にも積極的に持ち出されるようになりました。このことから従来よりもエンドポイントの管理が難しくなり、監視が行き届いていない端末がサイバー攻撃の被害に見舞われるリスクは高まっています。
これらの理由から、エンドポイントセキュリティを十分に意識したセキュリティ対策を行い、被害を未然に防止することが重要です。
ゲートウェイセキュリティとの違い
エンドポイントセキュリティが登場するより以前は、ゲートウェイセキュリティによるセキュリティ対策が主流でした。ゲートウェイセキュリティはエンドポイントとどのように異なっているのか、その違いを解説します。
ゲートウェイセキュリティの特徴
ゲートウェイセキュリティとは、自社のネットワークとグローバルネットワーク(社外のネットワーク)の間に存在する「ゲートウェイ」と呼ばれる地点で行われるセキュリティ対策です。社外のネットワークと社内のネットワークの間で通信を監視し、不審な通信があればゲートウェイで検知して通知・遮断・駆除などを行います。
前述のように、エンドポイントセキュリティは「エンドポイント」と呼ばれる個々の端末に対してセキュリティ対策を行いますが、ゲートウェイセキュリティではエンドポイントにたどり着く前の「ゲートウェイ」の段階でセキュリティ対策を行うという違いがあります。
例えるなら自社のネットワークと社外のネットワークの間に関所を設けて、通過させて良いかどうかを通信単位で判断するイメージです。
エンドポイントセキュリティの特徴
ゲートウェイセキュリティに対して、エンドポイントセキュリティはパソコンやスマートフォン、タブレット端末、サーバー、プリンターなどの個々のエンドポイント単位にセキュリティ対策を施します。
ゲートウェイを通過してきた通信の中に不審なプログラムや悪意のある攻撃が含まれていたときに、エンドポイントセキュリティが検知して、各エンドポイント単位で通信・遮断・駆除を行うのが特徴です。さらに、ゲートウェイセキュリティを介さず、エンドポイントを直接操作してデータを持ち出したり破壊したりするリスクに対しても、エンドポイントセキュリティは有効です。
ゲートウェイセキュリティが「社外からの通信をまとめて監視する」役割を担う一方で、エンドポイントセキュリティは「ゲートウェイセキュリティを通過した通信のうち、エンドポイントを通過しようとする通信を監視する」とともに、「エンドポイントに直接干渉するリスクに対処する」役割を持っています。
従来型セキュリティ対策の限界
従来型のゲートウェイセキュリティのみのセキュリティ対策は、社外のネットワークからの不正アクセスに対して高い効果を発揮します。しかし、マルウェアが次から次へと生まれ続ける現状では全てのパターンを網羅することは難しく、ゲートウェイセキュリティだけでは取りこぼしたマルウェアがエンドポイントに感染してしまうリスクを完全に回避することは難しい状況にあります。
加えて、ゲートウェイセキュリティはエンドポイントを直接操作して情報を窃取・改ざんする形式のサイバー攻撃に対応できないという欠点もあります。これらのリスクを補うために、エンドポイントセキュリティを導入して端末そのものを保護するための対策が必要なのです。
エンドポイントセキュリティ対策のポイント
エンドポイントセキュリティ対策を行うときは、次のポイントを意識することが大切です。
HDD暗号化
HDDに保存されているデータを暗号化することによって、悪意ある第三者が自社のネットワークに不正アクセスしてデータの内容を盗み見ようとしても、簡単に内容を把握できなくなります。
データが暗号化されていない状態を「平文」と呼びますが、平文の状態のままデータをやり取りすると、不正アクセスされた途端にすぐにデータの内容を把握されてしまうため、日頃からデータの暗号化を意識して送受信することが大切です。
マルウェア検知
前述のように、マルウェアは日々新しい型が生み出され続けており、企業や組織、個人のエンドポイントにサイバー攻撃を仕掛けようとしています。そのため、エンドポイントに侵入しようとするマルウェアを検知して、未然に侵入を防ぐための対策が重要です。
マルウェアの検知を未然に防ぐことができないと、エンドポイントがマルウェアに感染してしまい、社内ネットワークに接続されている他のエンドポイントにも拡散してしまうリスクがあります。侵入を検知した段階で、速やかに駆除することが求められます。
ふるまい検知
ふるまい検知とは、エンドポイントセキュリティがマルウェアを検知するための仕組みの一種です。エンドポイントに侵入してきたプログラムの挙動から、「このプログラムはおそらくマルウェアである」と判断すると、速やかに通知や駆除を行います。
従来のように事前に取得したパターンに当てはめて検知するのではなく、プログラムの挙動を手がかりにマルウェアかどうかを判断するため、まだパターンが登録されていない新種のマルウェアを検知できるというメリットがあります。
ID管理
ID管理も重要なエンドポイントセキュリティ対策のひとつです。自社にはどのようなエンドポイントが存在しているかを正確に把握するとともに、どの従業員にどのようなIDを振り分けているのかを管理することで、第三者による不正アクセスを防止しやすくなります。
例えば退職などで既に利用されていないIDを削除しないまま放置していると、退職後に元従業員が自身のIDを利用して社内システムにログインし、情報を持ち出すなどのセキュリティインシデントが起こる可能性があります。このような事態を防止するためにも、ID管理は大切です。
私物端末からのアクセス時の対応
従業員が所有しているパソコンやスマートフォンなど、私物端末から社内ネットワークにアクセスしたときの対応もエンドポイントセキュリティ対策においては大切です。
社内ネットワークに接続できる端末をあらかじめ社内で管理している端末のみに限定しておき、私物端末からネットワークに接続したときはアクセスを拒否するなどの設定を事前に行っておくことで、むやみに社内の情報を閲覧できないように制限し、データの流出を防止します。
エンドポイントセキュリティ製品のタイプ
エンドポイントセキュリティ製品には、次の4つのタイプがあります。
EPP
EPPとは、「Endpoint Protection Platform」の頭文字を取った言葉で、日本語で「エンドポイント保護プラットフォーム」のことです。パソコンやスマートフォンなどのエンドポイントに個別にインストールし、セキュリティを高めるためのソフトウェアを指しています。
EPPはエンドポイントにマルウェアが侵入しようとした時点で不正なプログラムの挙動を検知し、侵入を未然に防ぐ役割を持っています。「エンドポイントをマルウェアに感染させない」のがEPPの役割です。
NGAV
NGAVとは、「Next Generation Anti-Virus」の頭文字を取った言葉で、日本語で「次世代型アンチウイルス」のことです。前述のEPPに含まれるアンチウイルスソリューションであり、AIやディープラーニングを用いた機械学習やふるまい検知を利用して、未知のウイルスの行動パターンを予測し対応できるという特徴があります。
EDR
EDRとは、「Endpoint Detection and Response」の頭文字を取った言葉で、日本語で「エンドポイント検出対応」のことです。マルウェアの侵入を防止するためのEPPとは異なり、EDRはマルウェアがエンドポイントに侵入した後、速やかに検知して内容を分析し、マルウェアを封じ込めて被害をできるだけ少なく抑えるための働きを持っています。
「マルウェアに侵入されたエンドポイントの被害を最小限にとどめる」のがEDRの役割です。
DLP
DLPとは、「Data Loss Prevention」の頭文字を取った言葉で、日本語で「データの喪失防止」のことです。情報漏えいを防止するためのセキュリティ対策システムを指しており、IDやパスワードなど利用してデータ流出を防ぐのではなく、個人情報などの重要データをDLPが直接的に監視してサイバー攻撃から守ることを目的としています。
ツール選定のポイント
エンドポイントセキュリティのツールを選定するときは、次の3つのポイントを押さえて自社に合ったものを選ぶことが大切です。
強化対象の範囲
近年ではさまざまなツールが登場しているため、自社のセキュリティ対策において強化対象の範囲はどこなのかを明確にしておき、その範囲を強化できる製品を選びましょう。
例えば「マルウェアの侵入対策を強化したい」という目的なら検知精度の高い製品を導入し、「ID管理を行いたい」という目的なら端末やソフトウェアの一元管理を行える製品を導入するイメージです。
検知方法
前述のように、エンドポイントセキュリティは製品によって検知方法が異なります。マルウェアが侵入する前に検知・駆除したいのか、マルウェア侵入後に被害を最小限に食い止めるための対策を考えているのかによっても、導入する製品は変わってくるでしょう。
自社が必要としている検知方法がどれなのかをあらかじめ見極めてから、希望に合った検知方法の製品を導入することが大切です。
運用体制とあっているか、サポート体制
エンドポイントセキュリティの導入時は、自社のセキュリティに対する運用体制を今一度見直した上で、適切な運用体制を整えることが大切です。さらに、運用にあたってなんらかのトラブルが起こったときに、どの程度手厚くサポートしてもらえるのかも確認しておきましょう。
サポート体制が整ったメーカーの製品を選ばなければ、トラブルからの復旧までに時間がかかり、事業に支障をきたす可能性もあります。メールだけでなく電話対応が可能なメーカーを選ぶなど、サポート体制も併せて考慮しましょう。
業界最高峰のAIアンチウイルス
エンドポイントセキュリティ製品を導入するなら、業界最高峰のAIアンチウイルスに独自のサービスを付与したエムオーテックスの外部脅威対策ソリューション「Cyber Protection Managed Service(以下、CPMS)」がおすすめです。
新世代のアンチウイルスソリューションであるCPMSは、AIの予測技術を活用した99%※もの高い検知率が特徴です。エンドポイントに侵入する前にマルウェアを検知でき、まだデータベースに登録していない未知のマルウェアであっても行動パターンからリスクを予測して駆除できます。
※CylancePROTECT:2018 NSS Labs Advanced Endpoint Protection Test結果より
※Deep Instinct:Deep Instinct社調べ
CPMSでは2つのアンチウイルスソリューションを扱っており、ディープラーニングを活用した「 Deep Instinct」と、AIを活用した「CylancePROTECT」から自社の体制に合わせた製品を選択可能です。
Deep Instinct
Deep Instinctは、「予測脅威防御」を応用してエンドポイントがマルウェアに感染する前段階で検知・駆除するのが特徴です。ディープラーニングの特許技術が用いられており、スキャンしてから検知が完了するまでの時間は20ミリ秒※と、マルウェアがエンドポイントに侵入してから攻撃し始める前のごく短い時間で隔離を完了します。
※出典:Deep Instinct なぜサイバーセキュリティでは時間が重要なのか
CylancePROTECT
CylancePROTECTはAIによってマルウェアの行動パターンを学習し、侵入してきたファイルの動きがマルウェアであるかどうかを分析して検知・駆除します。Deep Instinct同様、検知精度は99%以上※を誇ります。通常使用時のCPU負荷はわずか0.3%と非常に軽量で、業務に影響を及ぼしにくいパフォーマンス性の高さもポイントです。
※CylancePROTECT:2018 NSS Labs Advanced Endpoint Protection Test結果より
まとめ
エンドポイントセキュリティは、エンドポイントとなるパソコンやスマートフォンなどの端末に直接インストールして機密情報を守るための仕組みです。従来のゲートウェイセキュリティだけでは守り切れないデータを安全に保持するために、エンドポイントセキュリティの存在は重要です。
新たにセキュリティ製品を導入するなら、AIやディープラーニングの活用により未知の脅威にも対応できるCPMSがおすすめです。99%以上※の高い検知率で、重要情報をさまざまな脅威から守ります。
※CylancePROTECT:2018 NSS Labs Advanced Endpoint Protection Test結果より
※Deep Instinct:Deep Instinct社調べ
関連記事
